サイトが真っ白になる、勝手に不正コンテンツが入る、管理画面に入れなくなる――そんな「他人事ではない」トラブルは、WordPressを使う中小企業で頻出します。保守契約は“保険”のように、見えない安心を買う行為です。本記事では実例と統計を交え、何をどう任せればよいかを丁寧に整理します。

保守契約とは?“サイトの保険”としての役割と価値

保守契約は、単なる「更新代行」ではありません。主な内容は次のとおりです。

  1. コア/プラグイン/テーマの更新
  2. 定期バックアップの取得と保管
  3. 稼働監視(ダウン検知・不正アクセス検知)
  4. 脆弱性チェックと対策
  5. 障害発生時の復旧対応
  6. レポートと改善提案。

これらは「平時の安心」と「有事の復旧」を両面で支えます。

車や家に保険をかけるように、サイトにも“保険”が要ります。契約がないまま被害が出ると、最悪の場合は丸ごと作り直し営業停止による機会損失に直結します。

WordPressサイトならではのリスクと“乗っ取り”の実態

WordPressは世界で最も普及しているCMSである反面、プラグインやテーマを含むエコシステム全体の脆弱性が狙われます。2024年には8,000件近い新規脆弱性が報告され、その大半がプラグイン/テーマ由来とされます(SecurityWeek)。また、WordPress向けセキュリティベンダーは、年間で数十億件規模の悪意あるリクエストをブロックしたと報告しています(Wordfence)。

どのように攻撃されるのか ― 経路とメカニズム

ハッカーがWordPressに不正に侵入しようとしているイラスト

  1. 脆弱性の悪用(プラグイン/テーマ/コア)

    古いプラグインやサポート切れのテーマにある脆弱性を自動スキャンで見つけ、遠隔でコードを実行して権限を奪取します。脆弱性が公表された直後は攻撃が集中しやすく、未更新のサイトほど危険です。

  2. ブルートフォース(パスワード総当たり)

    管理者アカウントを推測してログインを試みる攻撃です。強固なパスワード、ログイン試行の制限、二段階認証で大幅に抑止できます。

  3. 不正ファイルのアップロード/REST APIの誤設定

    アップロード機能や特定エンドポイントの不備を突き、バックドアとなるファイルを設置。そこから再侵入や改ざんを繰り返します。

  4. サーバーやFTPの認証情報流出

    開発者PCやメールから資格情報が漏えいすると、サーバーに直接侵入されファイル改ざん・データ窃取が起きます。秘密情報の取り扱いと権限分離が重要です.

  5. サプライチェーン攻撃(偽プラグイン/改ざん配布)

    正規に見えるプラグインに悪意あるコードが混入して配布されるケース。入手元と更新状況、開発元の継続性を確認しましょう。

上記のうち多くは「未更新」「未監視」「バックアップ未保持」「権限管理が緩い」といった要因で成功します。だからこそ、保守で継続的に防御層を保つことが有効です。

BIRTHDeYであった実例

以下は実際にBIRTHDeYで過去対応を行った代表的なケースです。

  • ケースA:サイトが真っ白になり表示不能

    原因:テーマ更新に伴う互換性崩壊とPHPエラー。対応:エラーログ解析→安全なテーマへ差し戻し→再検証。保守契約があればステージング検証で未然防止可能。

  • ケースB:見覚えのないコンテンツが勝手に埋め込まれ、削除しても再発

    原因:バックドアファイル。対応:感染範囲の特定、隔離と削除、アカウントの総入れ替え、ファイヤーウォール(WAF)導入、監視強化。

  • ケースC:バックアップが無く“ゼロから作り直し”

    他社制作サイトを引き継ぎ。静的HTMLを救出して応急復旧後、最終的に静的サイトとして再構築。時間と費用の負担が大きかった事例。

  • ケースD:内部編集で表示崩れ

    バックアップからの復元で短時間に復旧。定期バックアップの価値を実感した例。

これらは「保守の有無」で復旧時間とコストが大きく変わった典型例です。

保守契約で確認すべきポイント

チェックリストイラスト

  • 更新の仕方:自動更新にするか手動で行うか。更新前にテストする環境があると安心です。
  • バックアップ:どのくらいの頻度で取るか、どこに保管しているか。いざという時に戻せる仕組みがあるかを確認しましょう。
  • 監視と通知:サイトの停止や不正アクセスを検知したとき、誰にどのように通知されるか。
  • トラブル対応:不具合や障害が起きた時、どのくらいで対応してもらえるか(SLAや対応範囲を確認)。
  • 権限と安全管理:アカウントの権限設定、2段階認証、パスワード管理の方針など。
  • 再発防止策:原因を調べ、設定やプラグインの見直しを定期的に行ってくれるか。
  • 発注先との関係:会社や担当者とどのように連絡を取るのか、トラブル時の相談がしやすい関係かを確認しましょう。

契約しないリスクを「見える化」する方法(簡易算出法)

例:ECサイトで日売上10万円、平均粗利30%の場合

  • サイト停止が1日続けば売上損失=10万円、粗利損失=3万円。
  • 復旧に要する日数×損失=直接的な機会損失。
    加えてブランド損失(問い合わせ減少・SEO影響)や復旧費用(数十~数百万円)が発生する可能性があります。
    これらを保守料(月数千〜数万円)と比較すると、保守の価値が見えやすくなります。

まとめ

保守契約は「めったに起きないが、起きたら致命傷」への備えです。とくにWordPressはプラグイン/テーマ由来の更新と監視が欠かせません。BIRTHDeYは単なる作業委託ではなく、日常の安心と有事の迅速な復旧を両立する伴走型保守をご提供します。

まずは現状診断(無料)から。お問い合わせは こちら

Q&A(よくある質問)

Q1. 自社で更新できるなら保守はいりませんか?

更新自体は可能でも、脆弱性対応や不正検知・ログ解析・復旧は別スキルです。定期点検やバックアップがないと、致命的な被害につながることがあります。

Q2. 保守費用の相場は?

範囲によりますが、月5,000〜20,000円が一般的レンジ。監視・復旧対応・SLAを含めると3万円前後のプランもあります。費用は“保険料”として比較してください。

Q3. 制作会社が「保守もやる」と言っています。十分でしょうか?

口約束では不十分です。契約書で項目・対応時間・復旧範囲を明文化し、報告サンプルや実績を確認しましょう。

参考資料